Pfad zu einer ACL

[Stefan_Meier 0]

Hallo,

 

ich habe von einem "gegangenem" Mitarbeiter etliche ACLs geerbt, deren Namen mir nicht immer direkt sagen, um welchen Pfad es geht.

Gibt es eine Möglichkeit, sich die Pfade anzeigen zu lassen, ohne dass man Admin-Berechtigungen auf dem jeweiligen Server hat?

 

Hintergrund ist, dass ich Zugriffsanfragen zu bestimmten Pfaden bearbeiten soll, aber aktuell nicht weiß, welche ACL zu welchem Ordner gehört.

[NilsK 2.803]

Moin,

 

was heißt denn 

vor 58 Minuten schrieb Stefan_Meier:

etliche ACLs geerbt

?

 

Ich vermute mal, dass es um Gruppen geht, die irgendwo Berechtigungen haben. Falls das so ist: nein, man kann nicht rausfinden, wo die berechtigt sind. Man muss alle Pfade, Dateien oder Objekte dazu durchsuchen. Es gibt Berechtigungsmanagement-Software, die sowas macht, aber die ist erstens sehr teuer und zweitens nicht "mal eben" eingeführt.

 

Gruß, Nils

 

[Sunny61 773]

Falls es bereits Docusnap im Unternehmen gibt,  die kann die Berechtigungen auslesen und dokumentieren. Ansonsten kann man sich ein PS-Script erstellen, dazu sind natürlich auch passende Berechtigungen auf den Servern nötig.

[NilsK 2.803]

Moin,

 

naja, wenn man will, kann man das auch "kostenlos" und ohne Programmierung mit SetACL bekommen. Für "einmalig" vielleicht gangbar. Aber eigentlich will man das nicht.

 

https://helgeklein.com/setacl/

 

Gruß, Nils

 

[Sunny61 773]

Ja, auch damit kann man das machen. ;)

[Stefan_Meier 0]

Docusnap haben wir nicht. 

Das mit setacl hört sich interessant an. Das schaue ich mir genauer an. Soweit schon Mal vielen Dank. 

[cj_berlin 1.171]

vor 6 Minuten schrieb Stefan_Meier:

Docusnap haben wir nicht. 

Das mit setacl hört sich interessant an. Das schaue ich mir genauer an. Soweit schon Mal vielen Dank. 

...aber vielleicht erklärst Du mal, was Du mit "ich habe ACLs geerbt" meinst? Denn: eine ACL hängt immer an einem Pfad.

[Stefan_Meier 0]

Es gibt im AD in einer OU jede Menge ACLs, über die auf den Servern in verschiedenen Ordnern Schreib- oder Leseberechtigungen erteilt werden. Dazu "hängt" Dann jeweils eine ACL an einem Ordner auf dem Server. Ich darf da aber nicht drauf. Man geht wohl auch davon aus, dass das alles dokumentiert ist. Das ist leider nicht der Fall. Teilweise haben die ACLs Namen, die eindeutig auf einen Ordner hinweisen. Bei den restlichen ist das aber nicht so. 

bearbeitet 20. Januar 2022 von Stefan_Meier

[NilsK 2.803]

Moin,

 

Der Begriff "ACL" bezeichnet eine Berechtigungsliste. Du meinst wahrscheinlich Gruppen, an die Berechtigungen vergeben werden. Die solltest du daher auch "Gruppen" nennen.

 

Gruß, Nils

[Stefan_Meier 0]

Naja...es sind auch Listen. In den Listen stehen die Berechtigten Benutzer. Sinn der Sache ist wohl, dass man diese Liste an Verschiedene Ordner hängen könnte, und so bei Änderungen (neue Zuständigkeiten / neu MA / ...) nicht alle Ordner einzeln anfassen muss, sondern nur die ACL ändert.
Bei uns ist es aber eher so, dass es immer nur um einen Ordner geht. Dann ist der Vorteil wohl nur, dass man sich nicht auf dem Server durch die Ordner hangeln muss, sondern das Ganze recht komfortabel im AD pflegen kann. Das wäre ja auch alles schön, wenn die Namen der ACLs (/Gruppen) immer eindeutig wären.

 

Hier Mal ein (frei erfundenes) Beispiel, wie es im optimalen Fall ist:

Server:

C:\shares\Projekte\Controlling\review\HAF

ACL:

Proj_Cont_rev_HAF

 

Wenn es so ist, finde ich bei Anfragen auf den Ordner die richtige ACL (/Gruppe).

 

manchmal sieht das aber auch so aus:

Server:

C:\shares\Projekte\Controlling\review\HAF

ACL:

RW_HalbltrAnfrg

 

In dem Fall wäre ich gescheitert.

 

Deshalb frage ich mich, ob es einen Weg gibt, herauszubekommen, an welchen Ordner welche ACL hängt.

Und wie gesagt, darf ich leider nicht auf dem Server nachschauen.

 

bearbeitet 20. Januar 2022 von Stefan_Meier

[NilsK 2.803]

Moin,

 

vor 46 Minuten schrieb Stefan_Meier:

Naja...es sind auch Listen. In den Listen stehen die Berechtigten Benutzer.

das nennt man im AD "Gruppen".

 

Was ist denn genau die Aufgabe, die du lösen musst? 

 

Gruß, Nils

 

[NorbertFe 1.845]

vor 57 Minuten schrieb Stefan_Meier:

Naja...es sind auch Listen.

Wir reden aber von Windows, und da heißen die Listen Gruppen. Da hilft es dann schon, die entsprechenden Begrifflichkeiten im Zusammenhang zu verwenden. :)

[cj_berlin 1.171]

vor einer Stunde schrieb Stefan_Meier:

Deshalb frage ich mich, ob es einen Weg gibt, herauszubekommen, an welchen Ordner welche ACL hängt.

Und wie gesagt, darf ich leider nicht auf dem Server nachschauen.

Dann nicht, denn, wie von mir bereits angemerkt, hängen ACLs an Objekten, und Objekte sind Ordner, und Ordner sind auf dem Server. Wenn Du wenigstens Leserechte auf all den Ordnern hast, musst Du aber nicht "auf den Server" (im Sinne von: Dich dort interaktiv anmelden), sondern kannst es über die Freigabe auslesen. SetACL wurde schon genannt.